教育新型基础设施建设 第3部分：业务应用安全规范.pdf

教育新型基础设施

第3部分：业务应用安全规范

1范围

本文件规定了黑龙江省教育新型基础设施建设的总体要求，业务应用开发安全、供应链安全、业务

应用部署安全、业务应用安全运维的要求。

本文件适用于黑龙江省教育新型基础设施建设中的业务应用系统网络安全工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修订单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T22239信息安全技术网络安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

信息系统

应用、服务、信息技术资产或其他信息处理组件。

3.2

供应链

将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系列。

其中每一组织充当需方、供方或双重角色。

3.3

容器

软件的可执行单元，采用通用方式封装了应用程序代码、库和依赖项，具有轻量、启动快、可移植

等特点。

3.4

网络安全

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于

稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

3.5

1

网络安全事件

由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对

社会造成负面影响的事件（以下简称事件）。

3.6

安全审计

对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和

运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。

4缩略语

下列缩略语适用于本文件。

SSL/TLS：网络安全通信协议，确保数据安全地通过网络传输（SecureSocketsLayer/Transport

LayerSecurity）

API：应用程序接口（ApplicationProgramInterface）

XML：可扩展标记语言（ExtensibleMarkupLanguage）

LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol）

SBOM：软件物料清单（SoftwareBillofMaterials）

VPN：虚拟专用网（VirtualPrivateNetwork）

5总体要求

业务应用安全规范的总体要求旨在确保教育新型基础设施建设中的业务应用在设计、开发、部署和

运维的全生命周期各环节，均需要采取必要的安全措施保护业务应用，确保业务应用的保密性、完整性

和可用性，保证业务应用的安全稳定运行。

6业务应用开发安全

6.1输入与输出安全

输入与输出安全包括：

a)对所有输入到应用的数据进行验证，拒绝接受验证失败的数据；

b)验证所有输入数据的安全性，包括但不限于：

1)数据类型；

2)数据长度；

3)数据的值。

c)对输入的数据进行过滤或标准化处理，然后进行验证；

d)对所有输出到客户端的，来自于应用程序信任边界之外的数据进行净化；

e)除非明确对目标编译器是安全的，否则对所有字符进行编码；

f)关注SQL、XML和LDAP查询语句以及操作系统命令，这些命令可能存在潜在的危险字符，需进

行语义净化。

6.2数据加密与保护

数据加密与保护包括：

2

a)正确使用加密算法，根据开发场景正确选择对称加密、非对称加密及哈希算法；

b)对敏感数据进行加密，包括在服务器端存储的敏感信息；

c)确保密码运算过程安全，基于指定的算法和特定长度的密钥来进行密码运算；

d